Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sicherer Speicherbereich für den Betriebsrat

Frage Sicherheit

Mitglied: Blackstar

Blackstar (Level 1) - Jetzt verbinden

15.05.2012, aktualisiert 11:49 Uhr, 5900 Aufrufe, 18 Kommentare

In unserem Unternehmen (ca 50 Angestellte) wurde ein Betriebsrat gegründet.

Hallo Ihr Lieben!

In unserem recht kleinen Unternehmen mit ca 50 Angestellten, wurde ein Betriebsrat gegründet/gewählt. Wie Ihr Euch denken könnt, hat das schon für einigen Unmut bei der Geschäftsführung gesorgt. Ich als Admin soll nun einen sicheren Speicherort für den Betriebsrat zur Verfügung stellen, der möglichst keine Kosten verursacht. Das mit den Kosten bekomme ich hin, aber "sicher vor dem Zugriff Unbefugter" ??? Die 50 Angestellten sind alles Softwareentwickler und viele von denen wissen besser als ich wie man an Daten herankommt, die sie nichts angehen.

Meine Frage ist: wie habt Ihr das Problem gelöst, welche Ideen habt Ihr in Euren Unternehmen umgesetzt?

Freue mich auf viele Denkanstöße und wünsche Euch eine entspannte Woche


Frank


Zur Umgebung:
Windows Active Directory auf Server 2003, Fileserver Windows 2008R2, diverse Windows 2003/2008R2 Memberserver und diverse SLES Maschinen.
Betriebsrat besteht aus 3 Personen.
Mitglied: SlainteMhath
15.05.2012 um 11:48 Uhr
Moin,

da du nicht naeher auf deine Server und Clientumgebung eingehst...versuchs doch mal mit einem TrueCrypt Container auf einem Netzlaufwerk. Passphrase sollte ausschlkiesslich der BR kennen.

lg,
Slainte
Bitte warten ..
Mitglied: Alchimedes
15.05.2012 um 11:51 Uhr
Hallo,

vergiss was ich geschrieben hatte.
Hat sich erledigt... da kein Samba.

Gruss
Bitte warten ..
Mitglied: AndreasHoster
15.05.2012 um 11:55 Uhr
Sauber gesetzte NTFS Rechte sollten den Zugriff schon verhindern können, wenn die anderen keine Adminrechte haben, keinen physischen Zugriff auf die Maschine um mal ein Knoppix booten zu können oder Zugriff auf die Backups haben.
Wenn die anderen Adminrechte haben, hast Du praktisch eh schon verloren.

Und wenn Du solche Bedenken hast, natürlich muß der Betriebsrats-PC auch frei von selbergeschiebener Spionagesoftware sein.
Bitte warten ..
Mitglied: kontext
15.05.2012 um 11:55 Uhr
Ciao Frank,

wie wäre es wenn du eine Gruppe erstellst im AD für Betriebsrat.
Dort nimmst du die 3 User rein.

Dann erstellst du ein Share und gibts nur der Gruppe Betriebsrat Zugriff.
Dann könntest du das Share z.B. als Netzlaufwerk für die 3 User bereitstellen ...

Ich hoffe die restlichen User haben die Admin-Passwörter bzw. die Passwörter der 3 User nicht - ansonsten ist alles für die Katz ;)
Und natürlich auch keine Admin-Rechte

EDIT: too slow

Gruß
zanko
Bitte warten ..
Mitglied: SlainteMhath
15.05.2012 um 11:57 Uhr
Ein Verzeichnis anlegen, der Gruppe BR Vollzugriff geben, alle anderen Benutzer und Gruppen entfernen.
Somit kann der (Domain-)Admin nur zugreifen, wenn er den Besitzt über den Order/Die Dateien übernimmt (und das lässt sich nchvollziehen)
Bitte warten ..
Mitglied: hajowe
15.05.2012 um 11:59 Uhr
Hallo

Vielleicht wäre es noch interessant zusätzlich die Laufwerksüberwachung für aller Zugriffe
einzuschalten. Bringt natürlich nur etwas wenn sie auch wirklich geprüft wird.

Gruß
hajowe
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2012 um 12:01 Uhr
Mein vorschlag:

Einfach eigene Betriebsrat-Infrastruktur:

Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.

Das "Darf nichts Kosten" ist kein Argument. Die GL muß dem Betriebsrat ein geeignetes Arbeitsmittel zur Verfügung stellen.

lks
Bitte warten ..
Mitglied: keine-ahnung
15.05.2012 um 12:05 Uhr
Hi,

Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche

Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein wenig relativiert, gelle?

Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2012 um 12:14 Uhr
Zitat von keine-ahnung:
Hi,

Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche

/me 2


Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein
wenig relativiert, gelle?

Aus meiner Angestelltenzeit weiß ich, daß der Streit eher darum geht, was notwendig und was "Luxus" ist.


Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die
lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...


Das problem ist, daß der Netzwerlverkehr im Klartext ist. sinnvoller wäre ein eigenständiger Rechner der vom rest abgeschottet ist. ist zwar unbequem, imme rdorthin latschen zu müssen, aber dafür sicherer.

lks
Bitte warten ..
Mitglied: DerWoWusste
15.05.2012 um 12:49 Uhr
Moin.

Die Frage ist doch zunächst: "wer ist unbefugt?" Und: "kann man den Schutz überhaupt erreichen?"
Auch Verschlüsselungen erfordern Kennwörter. Diese per Tastatur einzugeben auf einem System, dass man (der BR) nicht selbst administriert, ist nicht sicher. Der GF oder wer auch immer, könnte einen Admin bestechen, ihm Kennwörter per Keylogger mitschreiben zu lassen und das war's dann mit dem Schutz. Das klingt zunächst vielleicht übertrieben, aber ich würde danach handeln.

Der einzige Weg, den Windows bietet, der halbwegs annehmbar ist, ist NTFS-Überwachung. Zeichne auf, wer die Freigabe des Betriebsrates öffnet und gib dem BR die Möglichkeit, dies zu prüfen. Manipuliert jemand die Einstellungen oder löscht gar das Log, wird dies nämlich auch geloggt. Aber: was ist mit offline-Zugriffen?

Quintessenz für mich: man müsste eine Verschlüsselung einsetzen und eine nicht mitlogbare Authentifizierung implementieren, wenn man es ernst meint. [Edit] Selbst dann kann jeder weitere Tastaturanschlag aufgezeichnet werden und es können natürlich auch Bildschirmfotos erstellt werden.

Der Ansatz von Lochkartenstanzer mit dem eigenen Rechner ist natürlich auch gut, aber können die BRs das? Können sie den schützen? MIt Vollverschlüsselung sollte man eine solide Basis dafür schaffen können. Bleibt nur noch die Frage, ob das mit dem einzelnen Rechner praktikabel ist.
Bitte warten ..
Mitglied: kontext
15.05.2012 um 12:56 Uhr
@DerWoWusste - das mit dem bestechenden Admin ist ein guter Einwand, aber würdest du dich vom der GF bestechen lassen?
Ich denke das die GF und der Admin sicherlich genau weiß das das absolut untragbar ist - und auch vor Gericht nicht gerade rosig aussieht ...
but thats OT ;)

Aber wie du sagst - wer was kann und wer sollte für was verantwortlich sein, sollte schon geklärt sein ...

Gruß
Bitte warten ..
Mitglied: keine-ahnung
15.05.2012 um 13:10 Uhr
Das kingt alles ein bisschen mehr nach George Orwell als nach Lebensnähe So ein kleines Unternehmen ist doch nicht die NSA? Ich glaube eigentlich kaum, dass eine normal agierende Geschäftsführung soviel kriminelle Energie aufwendet, um die Daten des Betriebsrates zu knacken. Dafür geht es im Härtefall schon auch mal in den Knast ...

LG, Thomas
Bitte warten ..
Mitglied: kontext
15.05.2012 um 13:14 Uhr
@keine#ahnung - klar das schon - aber es wird ja hier von einem sicheren Speicherbereich gesprochen ...
... auch wenn es nicht Lebensnah ist - es kann vorkommen

Gruß
Bitte warten ..
Mitglied: Blackstar
15.05.2012 um 13:56 Uhr
Hallo Leute, freue mich über die rege Beteiligung an diesem Thema.
"So ein kleiner Laden ist doch nicht die NSA"... hehehe das ist richtig, so ein kleiner Laden hat normalerweise aber auch keinen Betriebsrat. Der ist schon aus treffenden Gründen ins Leben gerufen worden.
Ein - wie auch immer- geschützter Bereich innerhalb der AD scheidet meiner Ansicht nach auf jeden Fall aus. Erstens: Die Datensicherung. Diese wird auf Bändern bei einem Bereichsleiter zu Hause ausgelagert. Zweitens: Für den Fall des Totalausfalls der IT-Administration und im Zuge der Desasterrecoverystrategie existiert eine Passwortliste, auf die die Geschäftsleitung unkontrollierbar Zugriff hat.
Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im Büro ist und die Remotedesktopsitzung als Domänenadmin geöffnet war, kann ich davon ausgehen, daß das Administrationspasswort anderswo bekannt ist.

Die Idee mit dem NAS finde ich ganz gut, sofern wie schon von Euch erwähnt, die Übertragung verschlüsselt verläuft.

Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud). Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?

Vielen Dank für all Eure Tips!

Ich freue mich auf weitere.


Besten Gruß

Frank
Bitte warten ..
Mitglied: Penny.Cilin
15.05.2012 um 14:02 Uhr
Einfach eigene Betriebsrat-Infrastruktur:

Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.

Ich habe damals diese Variante bei einem meiner Arbeitgeber umgessetzt. D. h. eigener abgeschlossener Raum, eigener Rechner inkl. Verschlüsselung, eigener Drucker und zusätzlich noch eine externe Festpaltte zwecks Datensicherung - alles verschlüsselt.
Der Support lief ausschließlich bei mir ein und auch nur im Beisein zweier BR-Mitglieder.

Ich hatte damit kein Problem. Ich muß allerdings auch anmerken, daß es ein größeres Unternehmen war, mit 7 BR-Mitgliedern. Zudem war das verhältnis zwichen BR und GF im Allgemeinen positiv.
OK, Meinungsverschiedenheiten gibt es immer mal.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2012 um 14:28 Uhr
Zitat von Blackstar:

Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor
kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im

wenn so etwas vorkommt, sind die normalen Arbeitsplatzrechne rnciht vertrauenswürdig.


Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud).
Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was
meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?

Eigene, vom betriebsrat oder einem vertrauenswürdigen Admin verwaltete Kiste. Auch wenn man per ssl auf externe Postfächer zugreift. Die daten landen ja doch irgendwann auf der lokalen Platte, z.B. im cache und können ausgelesen werden. Um das sauber hinzubekommen, muß man da relativ großen Aufwand treiben.

Ein eigener rechner ist zwar auch kompromittierbar, sollte aber mirt weniger aufwand zu schützen sein.

lks
Bitte warten ..
Mitglied: win-dozer
15.05.2012 um 18:07 Uhr
Das ist ja echt übel... was haltet ihr von einem eigenem Netz, Zugang zum Internet über VPN, Emails, Kalender & Co. evtl über ein GMail Business Konto oder MS Office 365.
GMail hätte den Vorteil das die Dateien über GDrive auch gleich verschlüsselt übertragen werden. Alternativ noch Dropbox, wenn die Netze getrennt sind.

Eine Idee wäre noch, einen VPN Hoster zu verwenden und dann 3 Laptops mit UMTS. Die Laufwerke mit einer Intel SSD die Hardwareverschlüsselt ist und einem _sicheren_ Schlüssel.
(dann hat sicher keiner Zugriff auf die HDD & es kann euch keiner in die Internetverbindung reinpfuschen!)
Backups dann auf eine 2,5 Zoll HDD, ebenfalls verschlüsselt.
Bitte warten ..
Mitglied: Dirmhirn
15.05.2012 um 23:55 Uhr
HI!

wir haben auch noch keinen BR.
existiert eine Passwortliste
die gibts bei uns auch - aber wozu von allen Nutzern?! ist das rechtlich überhaupt zulässig?
Admin PW in Kuvert ok, aber alle anderen kann man ja zurücksetzen.

sg Dirm
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...